黑客利用IT监控工具中心来监控多个法国公司-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 黑客利用IT监控工具中心来监控多个法国公司

黑客利用IT监控工具中心来监控多个法国公司

小墨安全管家 2021-02-19 12:07 CC防护 89 ℃
DDoS防御

鉴于SolarWinds供应链的攻击,研究人员以为诸如Centreon之类的监视系统已成为不良行为者发起攻击并在受害环境中横向挪移的有利可图的手段。然而,与前者的供应链攻击不同,新近披露的攻击有所不同,它们也许是经过利用受害者中心网络中运行Centreon软件的面向互联网的服务器来实施的。

ANSSI警告讲:

此后门被标识为PAS Webshell,版本号3.1.4。在同一服务器上,DDoS防御,ANSSI发觉了另一具与ESET描述的后门相同的后门,名为Exaramel。 Exaramel 后门“是后门组件的改进版本”,是针对工业操纵系统(ICS)的恶意软件 Industroyer 的一部分,Industroyer 曾在2016年12月引发乌克兰停电。

研究人员表示:

据讲俄罗斯黑客组织(也称为APT28,TeleBots,CC防御,Voodoo Bear或Iron Viking)在过去几年中遭受了一些最具攻击性的网络攻击,防DDoS,其中包括2016年乌克兰的电网攻击,2017年的NotPetya勒索软件爆发以及2018年平昌冬季奥运会。

Centreon成立于2005年,其客户包括Airbus, Air Caraïbes, ArcelorMittal, BT, Luxottica, Kuehne + Nagel, Ministère de la Justice français, New Zealand Police, PWC Russia, Salomon, Sanofi和 Sephora,目前尚不清晰有多少或哪些组织经过该软件黑客被攻击。


“众所周知,攻击设备Sandworm会引起随后的攻击活动,接着重点关注适合其在受害者群体中的战略利益的特定目标,ANSSI观看到的活动符合这种行为。”

此外,ANSSI的调查显示,为了连接到Web Shell,使用了常见的虚拟网络服务,在C2基础结构中存在重叠,从而将操作连接到Sandworm。

法国信息安全机构周一讲:

黑客利用IT监控工具中心来监控多个法国公司

web shell配备了处理文件操作、搜索文件系统、与SQL数据库交互、对SSH、FTP、POP3和MySQL执行暴力密码攻击、创建反向shell和运行任意PHP命令的功能。

法国信息安全机构ANSSI在一份问报告中表示,依照研究,此次的攻击活动基本攻击了“几个法国公司”,该活动始于2017年底,持续到2020年,攻击非常阻碍了Web托管提供商。

另一方面,Exaramel用作远程治理工具,可以执行Shell命令并在攻击者操纵的服务器与受感染的系统之间来回复制文件。它还使用HTTPS与其命令和操纵(C2)服务器举行通信,以便检索要运行的命令列表。

尽管最初的攻击对象也许还不清晰,但受害者网络的入侵与Centreon有关,Centreon是由一家同名的法国公司开辟的一款应用程序和网络监控软件。

黑客利用IT监控工具中心来监控多个法国公司

“所以,建议在漏洞公开并公布纠正补丁后即将更新应用程序。建议不要将这些工具的Web界面公开到互联网上或使用非应用身份验证来限制这种访咨询。”

ANSSI表示,受攻击的服务器运行CENTOS操作系统(版本2.5.2),并在两种不同的恶意软件中发觉了这种恶意软件,一具名为PAS的公开Webshell,另一具名为Exaramel,CC防御,自2018年以来,Sandworm在先前的攻击中曾使用过该Webshell。

与俄罗斯有关联的、由国家支持的攻击组织Sandworm与一项长达三年的隐秘行动有关,该行动利用名为Centreon的IT监控工具攻击目标。

“在受到攻击的系统上,ANSSI发觉以webshell形式浮上的后门存在于暴露于互联网的几台Centreon服务器上。”


DDoS防御

当前位置:主页 > CC防护 > 黑客利用IT监控工具中心来监控多个法国公司

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119